EP3151148B1 - System und verfahren zur erzeugung von sets von antivirusaufzeichnungen zur detektion von malware auf benutzervorrichtungen - Google Patents

Claims (15)

1. Verfahren zum Erzeugen eines Satzes von Antivirus-Aufzeichnungen, wobei das Verfahren umfasst:

   Aufrechterhalten, durch einen Server (120), einer Datenbank (123) von Dateien, wobei die Datenbank (123) von Dateien dazu konfiguriert ist, schädliche Dateien, vertrauenswürdige Dateien und nicht vertrauenswürdige Dateien zu speichern;

   Erzeugen, durch den Server (120), mehrerer Antivirus-Aufzeichnungen, die unterschiedliche lokalitätssensitive Hashes für jede schädliche Datei enthalten, in der Datenbank (123) von Dateien, wobei jede der mehreren Antivirus-Aufzeichnungen einen lokalitätssensitiven Hash umfasst, der aus einem unterschiedlichen Satz von Dateiattributen der schädlichen Datei berechnet wurde;

   Berechnen, durch den Server (120), einer Effektivität jeder Antivirus-Aufzeichnung durch Bestimmen, wie viele unterschiedliche schädliche Dateien unter Verwendung jeder Antivirus-Aufzeichnung detektiert wurden, und einer Anzahl von falschen positiven Detektionen durch die Antivirus-Aufzeichnung;

   Erzeugen, durch den Server (120), eines Satzes von effektivsten Antivirus-Aufzeichnungen, umfassend:

   Auswählen, für jede bekannte schädliche Datei, der effektivsten Antivirus-Aufzeichnung, die bei einer Detektion der schädlichen Datei verwendet wurde, wobei die effektivste Antivirus-Aufzeichnung als eine Funktion sowohl der Anzahl unterschiedlicher schädlicher Dateien, die durch die Antivirus-Aufzeichnung detektiert wurden, als auch der Anzahl falscher positiver Detektionen durch die Antivirus-Aufzeichnung berechnet wird;

   Bestimmen, ob die ausgewählte Antivirus-Aufzeichnung bereits im Satz enthalten ist; und

   ansprechend auf ein Bestimmen, dass die ausgewählte Antivirus-Aufzeichnung nicht im Satz enthalten ist, Hinzufügen der Aufzeichnung zu dem Satz; und

   Übertragen, durch den Server (120), des Satzes von effektivsten Antivirus-Aufzeichnungen an ein Kundengerät (100).
2. Verfahren nach Anspruch 1, wobei jede Antivirus-Aufzeichnung ferner eine oder mehrere umfasst von: einer Signatur einer schädlichen Datei; einer heuristischen Regel, die zur Detektion einer schädlichen Datei während einer Emulation der schädlichen Datei verwendet wurde; oder einer heuristischen Regel, die zur Detektion einer schädlichen Datei während einer proaktiven Detektion verwendet wurde.
3. Verfahren nach Anspruch 1 oder 2, wobei das Berechnen einer Effektivität jeder Antivirus-Aufzeichnung ein Sammeln, durch eine Antivirus-Anwendung (121), die auf dem Server (120) läuft, von Statistiken über eine Anzahl von schädlichen Dateien umfasst, die durch die Antivirus-Anwendung (121) unter Verwendung jeder Antivirus-Aufzeichnung detektiert wurden.
4. Verfahren nach Anspruch 1 oder 2, wobei die Effektivität einer Antivirus-Aufzeichnung als eine Funktion einer Anzahl von unterschiedlichen schädlichen Dateien, die durch die Antivirus-Aufzeichnung detektiert wurden, der Anzahl von falschen positiven Detektionen durch die Antivirus-Aufzeichnung und einer Kategorie berechnet wird, zu der jede der detektierten schädlichen Dateien gehört, wobei die Kategorie vertrauenswürdig, nicht vertrauenswürdigen oder schädlich umfasst.
5. Verfahren nach Anspruch 4, wobei die Effektivität einer Antivirus-Aufzeichnung ferner als eine Funktion einer Popularität jeder detektierten schädlichen Datei auf Kundengeräten (100) berechnet wird.
6. Verfahren nach Anspruch 1 oder 2, wobei der Satz von Dateiattributen der schädlichen Datei, der verwendet wird, um wenigstens einen der lokalitätssensitiven Hashes zu berechnen, umfasst:

   a) die Dateigröße, die Dateibildgröße, die Anzahl von Dateisektionen, die zugehörige virtuelle Adresse (Related Virtual Address; RVA) der Dateisektionen, die RVA des Eintrittspunkts, den Typ Subsystem, die Dateicharakteristika aus dem Header des allgemeinen Objektdateiformats (Common-Object-File-Format; COFF), und den Typ Compiler, der verwendet wurde, um die Datei zu erzeugen;

   b) die Dateigröße, die Dateibildgröße, den Typ Subsystem, und die Frequenzcharakteristika der Zeichen in der Datei; oder

   c) die Dateigröße, die Dateibildgröße, den Typ Subsystem, die Dateicharakteristika aus dem COFF-Header, den Typ Compiler, der verwendet wurde, um die Datei zu erzeugen, und die Frequenzcharakteristika der Zeichen in der Datei.
7. Verfahren nach Anspruch 1 oder 2, wobei jede Antivirus-Aufzeichnung ferner Informationen umfasst, die das Verfahren zum Berechnen des lokalitätssensitiven Hashes identifizieren, der in der Antivirus-Aufzeichnung enthalten ist.
8. System zum Erzeugen von Sätzen von Antivirus-Aufzeichnungen, wobei das System umfasst:

   einen Server (120), der einen Hardware-Prozessor (21) aufweist, der dazu konfiguriert ist:

   eine Datenbank (123) von Dateien aufrechtzuerhalten, wobei die Datenbank (123) von Dateien dazu konfiguriert ist, schädliche Dateien, vertrauenswürdige Dateien und nicht vertrauenswürdige Dateien zu speichern;

   mehrere Antivirus-Aufzeichnungen, die unterschiedliche lokalitätssensitive Hashes für jede schädliche Datei enthalten, in der Datenbank (123) von Dateien zu erzeugen, wobei jede der mehreren Antivirus-Aufzeichnungen einen lokalitätssensitiven Hash umfasst, der aus einem unterschiedlichen Satz von Dateiattributen der schädlichen Datei berechnet wurde;

   durch Bestimmen, wie viele unterschiedliche schädliche Dateien unter Verwendung jeder Antivirus-Aufzeichnung detektiert wurden, und einer Anzahl von falschen positiven Detektionen durch die Antivirus-Aufzeichnung eine Effektivität jeder Antivirus-Aufzeichnung zu berechnen;

   einen Satz von effektivsten Antivirus-Aufzeichnungen zu erzeugen, durch:

   Auswählen, für jede bekannte schädliche Datei, der effektivsten Antivirus-Aufzeichnung, die bei einer Detektion der schädlichen Datei verwendet wurde, wobei die effektivste Antivirus-Aufzeichnung als eine Funktion sowohl der Anzahl unterschiedlicher schädlicher Dateien, die durch die Antivirus-Aufzeichnung detektiert wurden, als auch der Anzahl falscher positiver Detektionen durch die Antivirus-Aufzeichnung berechnet wird;

   Bestimmen, ob die ausgewählte Antivirus-Aufzeichnung bereits im Satz enthalten ist; und

   ansprechend auf ein Bestimmen, dass die ausgewählte Antivirus-Aufzeichnung nicht im Satz enthalten ist, Hinzufügen der Aufzeichnung zu dem Satz; und

   den Satz von effektivsten Antivirus-Aufzeichnungen an ein Kundengerät (100) zu übertragen.
9. System nach Anspruch 8, wobei jede Antivirus-Aufzeichnung ferner eine oder mehrere umfasst von: einer Signatur einer schädlichen Datei; einer heuristischen Regel, die zur Detektion einer schädlichen Datei während einer Emulation der schädlichen Datei verwendet wurde; oder einer heuristischen Regel, die zur Detektion einer schädlichen Datei während einer proaktiven Detektion verwendet wurde.
10. System nach Anspruch 8 oder 9, wobei das Berechnen einer Effektivität jeder Antivirus-Aufzeichnung ein Sammeln, durch eine Antivirus-Anwendung (121), die auf dem Server (120) läuft, von Statistiken über eine Anzahl von schädlichen Dateien umfasst, die durch die Antivirus-Anwendung (121) unter Verwendung jeder Antivirus-Aufzeichnung detektiert wurden.
11. System nach Anspruch 8 oder 9, wobei die Effektivität einer Antivirus-Aufzeichnung als eine Funktion einer Anzahl von unterschiedlichen schädlichen Dateien, die durch die Antivirus-Aufzeichnung detektiert wurden, der Anzahl von falschen positiven Detektionen durch die Antivirus-Aufzeichnung und einer Kategorie berechnet wird, zu der jede der detektierten schädlichen Dateien gehört, wobei die Kategorie vertrauenswürdig, nicht vertrauenswürdigen oder schädlich umfasst.
12. System nach Anspruch 11, wobei die Effektivität einer Antivirus-Aufzeichnung ferner als eine Funktion einer Popularität jeder detektierten schädlichen Datei auf Kundengeräten (100) berechnet wird.
13. System nach Anspruch 8 oder 9, wobei der Satz von Dateiattributen der schädlichen Datei, der verwendet wird, um wenigstens einen der lokalitätssensitiven Hashes zu berechnen, umfasst:

    a) die Dateigröße, die Dateibildgröße, die Anzahl von Dateisektionen, die zugehörige virtuelle Adresse (Related Virtual Address; RVA) der Dateisektionen, die RVA des Eintrittspunkts, den Typ Subsystem, die Dateicharakteristika aus dem Header des allgemeinen Objektdateiformats (Common-Object-File-Format; COFF), und den Typ Compiler, der verwendet wurde, um die Datei zu erzeugen;

    b) die Dateigröße, die Dateibildgröße, den Typ Subsystem, und die Frequenzcharakteristika der Zeichen in der Datei; oder

    c) die Dateigröße, die Dateibildgröße, den Typ Subsystem, die Dateicharakteristika aus dem COFF-Header, den Typ Compiler, der verwendet wurde, um die Datei zu erzeugen, und die Frequenzcharakteristika der Zeichen in der Datei.
14. System nach Anspruch 8 oder 9, wobei jede Antivirus-Aufzeichnung ferner Informationen umfasst, die das Verfahren zum Berechnen des lokalitätssensitiven Hashes identifizieren, der in der Antivirus-Aufzeichnung enthalten ist.
15. Computerprogrammprodukt, das auf einem nichtflüchtigen computerlesbaren Speichermedium gespeichert ist, wobei das Computerprogrammprodukt computerausführbare Instruktionen zum Durchführen der Verfahrensschritte der Ansprüche 1 - 7 umfasst.

Images